NGN接入層的安全

1.軟交換終端設備安全性概述

終端設備是軟交換網路中最大的安全隱患之所在。在軟交換網路中，存在大量的終端設備，而且這些終端設備接入地點和接入方式都非常靈活，這些終端都放置在用戶側，無法避免有些用戶利用非法終端或設備訪問網路，占用網路資源，非法享受業務和服務，並且某些用戶可能利用非法終端或者設備向網路發動攻擊，對網路的安全造成威脅。因此，要保證軟交換網路的安全，需要對軟交換網路中的終端設備進行鑒權和認證，主要是IAD和SIP/H.323等終端設備。

2.綜合接入設備（IAD）技術

綜合接入設備是適用於小企業和家庭用戶的一種新型的下一代軟交換用戶接入設備，它將用戶的數據、話音及視頻等套用需求接入到分組網中，在分組網中完成相應的功能。與綜合接入媒體網關相比，IAD屬於小容量設備，用戶連線埠數一般不超過48個。IAD位於用戶側，無需專門的機房，一般放置於離用戶較近的地方如家庭、辦公室、小區或商業樓宇的樓道內。面對ATM、IP兩種技術，IAD的語音傳送方式也多種多樣，主要採用的技術包括VoDSL和VoIP兩種。

（1）IAD功能

IAD作為用戶側的接入設備，應該具有呼叫處理、語音處理、資源管理和維護管理等方面的功能。

（2）接口要求

①用戶側接口

用戶側接口包括模擬電話的Z接口、ISDN的PRI接口或BRI接口、LAN接口。

②網路側接口

如果採用VoDSL接入方式，則網路側為模擬用戶線，接口為Z接口；如果採用VoIP接入方式，則網路側為乙太網接口，一般為10/100base-T接口。

（3）協定要求

IAD在下一代網路中為接入層設備，應該受軟交換設備的控制，以進行呼叫建立、釋放等相關操作。因此，IAD應該支持H.248/Megaco協定或MGCP。

IAD接入分組網路，應該支持TCP/UDP/IP和RTP/RTCP。

如果IAD採用xDSL接入方式，IAD還應支持DSL的相關協定。

3.IAD的安全技術

（1）IAD的鑒權和認證

對IAD設備的鑒權和認證主要有以下幾種方式。

①在IAD在向軟交換進行註冊時，軟交換設備可以從IAD向軟交換設備傳送的註冊信息中提取出IP位址或域名，或者IP位址與其他參數的組合，與自身資料庫中的數據進行比較。如果提取出來的信息在資料庫中不存在，那么判定該IAD為非法終端，該IAD設備的註冊將失敗。

②在IAD設備向軟交換髮送的註冊信息中攜帶MAC地址信息。MAC地址信息對於IAD來說是惟一的，而且能夠惟一地標識IAD，該方案也是套用比較廣泛的一種方案。軟交換在收到IAD傳送的註冊訊息後，從中提取出MAC地址信息，並與自身資料庫中所保存的信息進行比較。為了實施該方案，需要在正常標準的H.248/MGCP的註冊命令中增加一些擴展參數來攜帶MAC地址信息。考慮到MAC地址信息在網路上傳輸時可能會被竊取，因此需要對IAD的MAC地址進行加密。

③IAD在工作之前，必須完成管理註冊和業務註冊。管理註冊就是IAD在啟動後向網管站進行註冊，業務註冊就是IAD向軟交換進行註冊。

（2）IAD終端設備的安全技術、解決方案及實現

針對各種網路安全攻擊，在實際工程實現及運作中，主要採用的手段是：當網路各組件互通信時，一開始便建立安全的連線，從相互確認對方的身份入手，明確訊息及數據來源，防止非法用戶充當授權用戶獲取到網路資源的訪問權及相關信息。其關鍵在於如何進行密鑰的分發與管理，在此基礎上，對要傳送的信息進行加密並保證其完整性。基於這種思路，出現了各種各樣的IAD終端設備的安全解決方案，下面將根據IAD終端設備的動作流程，分為3大部分來敘述：安全自動配置、安全信令及媒體流安全技術。

1.網關設備的簡介

①媒體網關與信令網關在軟交換網路體系中的位置

軟交換設備是下一代分組網路的核心設備之一，媒體網關和信令網關在軟交換網路體系中位於接入層面。

接入層面的功能是將用戶連線至網路，它通過各種接入手段集中用戶業務，將信息格式轉換成為能夠在網路上傳遞的信息格式，然後傳遞到相應的目的地。控制平面主要完成各種呼叫控制，並負責相應業務處理信息的傳送。業務套用平面的作用是提供多種增值業務。

2.媒體網關的種類及其功能

媒體網關有以下3種。

①IP中繼媒體網關

IP中繼媒體網關在IP網路與電路交換網路（SCN）之間提供媒體映射和代碼轉換功能，即終止電路交換網路設施，將媒體流分組化並在分組網上傳輸分組化的媒體流。IP中繼媒體網關也應該在IP網路去往SCN的方向上執行類似的功能。

②ATM中繼媒體網關

ATM中繼媒體網關在ATM網路與電路交換網路之間提供媒體映射和代碼轉換功能，即終止電路交換網路設施，將媒體流分組化並在ATM網上傳輸。ATM中繼媒體網關也應該在ATM網路去往電路交換網路的方向上執行類似的功能。

③綜合接入媒體網關

綜合接入媒體網關提供媒體映射和代碼轉換功能，即終止TDM電路，將媒體流分組化並在分組網上傳輸。

媒體網關功能：語音處理功能、呼叫處理與控制功能、資源控制功能、維護和管理功能、分組語音的QoS管理功能、IP傳真功能、ATM功能及同步和定時功能等。

3.信令網關及其功能

信令網關最基本的功能就是提供TDM七號信令網與IP網之間的信令連線。

信令網關的功能：信令網關通用信令功能、七號信令網側的功能、IP側的功能、操作、維護和管理功能、計費管理及時鐘同步管理等功能。

大多數的黑客入侵事件都是由於未正確安裝防火牆而引起的。作為一種訪問控制技術，防火牆就是用於增強內部網路的安全性，決定外界的哪些用戶可以訪問內部的哪些服務。為了防止內部網路不被攻擊和入侵，內聯網在接入網際網路時就必須加築安全的防火牆。

隨著軟交換技術和設備的成熟，開始部署軟交換網路。在商用的過程，也需要解決防火牆（FW）和地址轉換設備（NAT）的穿越問題，為大量的園區網、企業網和個人用戶提供軟交換業務。

1.單純防火牆設備的穿越問題和解決思路

（1）單純防火牆設備引出的問題

處於安全考慮，常規的防火牆配置要求內部網先向外部主機傳送包後才打開相應的外部主機發往內部主機的連線埠，而對於外部網主機首先發往內部網主機的包則會被丟棄。對於UDP，防火牆一般還會對已開啟的連線埠進行檢查，超過一定時間沒有通信流量就自動關閉連線埠。

（2）穿越單純防火牆設備的方法

單純的防火牆問題的解決方案有以下兩個：

①使用TCP傳送信令。

②以短於防火牆連線埠開啟時長的周期不斷發送訊息，維持該信令連線埠的開啟。

2.地址轉換設備的穿越問題和解決思路

①地址轉換設備的種類

地址轉換設備實現內、外網地址的轉換，使得